Sicherheitsmängel durch Installation der Telematikinfrastruktur für die Elektronische Gesundheitskarte

Deutscher     Bundestag          Drucksache
19/11314

19. Wahlperiode     02.07.2019

Antwort

der Bundesregierung

auf die Kleine Anfrage der Abgeordneten Dr. Wieland Schinnenburg, Michael Theurer, Grigorios Aggelidis, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 19/10936 –

Sicherheitsmängel durch Installation der Telematikinfrastruktur für die

Elektronische Gesundheitskarte

Vorbemerkung der Fragesteller

Medienberichten zufolge ist es in einigen Praxen durch die Installation der Komponenten für die Telematikinfrastruktur (TI) zu Sicherheitsmängeln gekommen. So sollen einige Praxen nach Installation der Komponenten ohne ihre bisherige Firewall am Internet hängen. Dies bedeutet eine erhebliche Gefährdung aller Rechner und Komponenten im Praxisnetzwerk (www.aerztezeitung. de/praxis_wirtschaft/digitalisierung_it/article/985332/telematikinfrastruktur- unsichere-ti-anschluesse-vielen-praxen.html).

In einer Presseerklärung vom 25. April 2019 führt die gematik – Gesellschaft für Telematikanwendungen der Gesundheitskarte mbh aus, dass nicht der Konnektor selbst das Problem sei, sondern die Installation. Ihr seien aber “keine verbindlichen Zahlen bekannt, die sich auf Unsicherheiten beim Anschluss von Praxen an die Telematikinfrastruktur durch Dienstleister vor Ort” bezögen (www.gematik.de/news/news/unsicherheiten-beim-ti-anschluss-konnektor-ist- nicht-das-problem/). Es sei mehr Aufklärungsarbeit notwendig, um die Dienstleister vor Ort für einen ordnungsgemäßen Anschluss der Komponenten für die Telematikinfrastruktur zu sensibilisieren.

Insgesamt ist es nach Auffassung der Fragesteller unbefriedigend, dass den Lieferproblemen der Komponenten nun auch noch deren Installation Probleme bereitet. Eine Installation von Sicherheitskomponenten, die neue Sicherheitslücken in Praxisnetzwerken aufreißen kann, dürfte nicht zu einem verstärkten Vertrauen der Ärzte, Psychotherapeuten und weiteren angeschlossenen Praxen und Einrichtungen in die Telematikinfrastruktur führen.

Vorbemerkung der Bundesregierung

Die Telematikinfrastruktur stellt die technische Basis für die Vernetzung im Gesundheitswesen dar. Hiermit erhalten Versicherte und schrittweise alle Leistungserbringer der Gesundheitsversorgung die Möglichkeit, medizinische Daten sicher

Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Gesundheit vom 28. Juni 2019 übermittelt.

Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext.

Drucksache
19/11314     
Deutscher Bundestag – 19. Wahlperiode

zu teilen, sicher zu kommunizieren und sicher innovative Anwendungen zu verwenden. Daher sind Datenschutz und Datensicherheit zentrale Anforderungen an alle eingesetzten technischen Komponenten und auch an die organisatorischen Verfahren in der Telematikinfrastruktur. Um dies sicherzustellen, ist für die Zulassung von Komponenten und Diensten eine Sicherheitszertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik gemäß dem Stand der Technik und der aktuellen Bedrohungslage erforderlich.

  1. Welche Anzahl an Anschlussorten ist nach Kenntnis der Bundesregierung durch eine unsichere Installation der TI-Komponenten betroffen?
  2. Wie bewertet die Bundesregierung die aufgetretenen Sicherheitsmängel?
  3. Welche Sicherheitsmängel sind konkret bei der Installation von TI-Komponenten in einigen Praxen nach Kenntnis der Bundesregierung entstanden?
  4. Wodurch wurden die Sicherheitsmängel nach Kenntnis der Bundesregierung verursacht?
  5. Welche Maßnahmen unternimmt die Bundesregierung, um diese Sicherheitsprobleme abzustellen?

Die Fragen 1 bis 5 werden wegen ihres Sachzusammenhangs gemeinsam beantwortet.

Datenschutz und Datensicherheit in der Telematikinfrastruktur sind für das Bundesministerium für Gesundheit (BMG) von größter Bedeutung. Das BMG nimmt deshalb Presseberichte sehr ernst, dass die Installation der Konnektoren bei einigen Leistungserbringern nicht dem Stand der Technik entsprach, und befindet sich in enger Abstimmung mit der Gesellschaft für Telematik und dem Bundesamt für Sicherheit in der Informationstechnik.

Die in der Presse aufgezeigten Probleme wurden insbesondere durch die unzureichende Abstimmung des Dienstleisters für die Installation der Komponenten der Telematikinfrastruktur und des lokalen Administrators des IT-Systems in der ärztlichen bzw. zahnärztlichen Praxis hervorgerufen. Die Sicherheit der Konnektoren selbst bzw. der Telematikinfrastruktur war von den Vorfällen nicht betroffen.

Als erste Maßnahme hat die Gesellschaft für Telematik zusammen mit allen Gesellschaftern Maßnahmen zur verstärkten Sensibilisierung der Leistungserbringer und der Dienstleister ergriffen. Dazu gehören eine Informationsbroschüre zur sicheren Installation der Konnektoren und ein Musterinstallationsprotokoll. Weitere Maßnahmen werden zurzeit geprüft.

Das BMG strebt an, die IT-Sicherheit bei den niedergelassenen Ärztinnen und Ärzten nachhaltig zu stärken. Der Referentenentwurf des Gesetzes für eine bessere Versorgung durch Digitalisierung und Innovation sieht deshalb vor, dass die Kassenärztliche Bundesvereinigung und die Kassenzahnärztliche Bundesvereinigung bis zum 31. März 2020 verbindliche Richtlinien zur Gewährleistung der ITSicherheit festlegen müssen. Die Kassenärztliche Bundesvereinigung und die Kassenzahnärztliche Bundesvereinigung sollen darüber hinaus auch die Möglichkeit erhalten, IT-Dienstleister zu zertifizieren.

Deutscher Bundestag – 19. Wahlperiode     Drucksache
19/11314

  1. Welche Anzahl an Praxen und Einrichtungen soll nach Planung der Bundesregierung insgesamt an die TI angeschlossen werden?

Die Bundesregierung geht davon aus, dass in einem ersten Schritt ca. 177 000 Arzt- und Zahnarztpraxen, ca. 2 000 Krankenhäusern und ca. 19 500 Apotheken an die Telematikinfrastruktur angeschlossen werden.

  1. Welche Anzahl an Praxen und Einrichtungen ist nach Kenntnis der Bundesregierung aktuell an die TI angeschlossen?

Nach Kenntnis der Bundesregierung waren Mitte Juni 2019 ca. 100 000 Arzt- und Zahnarztpraxen an die Telematikinfrastruktur angeschlossen.

  1. Welche Anzahl an Praxen und Einrichtungen kann nach Kenntnis der Bundesregierung bis zum 30. Juni 2019 an die TI angeschlossen werden?
  2. Welche Anzahl an Praxen und Einrichtungen kann nach Kenntnis der Bundesregierung aus welchen Gründen nicht zum 30. Juni 2019 an die TI angeschlossen werden?

Die Fragen 8 und 9 werden wegen ihres Sachzusammenhangs gemeinsam beantwortet.

Die Bundesregierung geht davon aus, dass alle Arzt- und Zahnarztpraxen, die rechtzeitig bestellt haben, auch bis zum 30. Juni 2019 ausgestattet und an die Telematikinfrastruktur angeschlossen werden können.

  1. Sind alle Hardwarekomponenten für den Anschluss von Praxen, Gesundheitseinrichtungen und Krankenhäusern nach Kenntnis der Bundesregierung in ausreichender Anzahl verfügbar und lieferbar, und wenn nein, welche, aus welchen Gründen nicht?

Nach Kenntnis der Bundesregierung sind für den Anschluss von Praxen und Krankenhäusern von Seiten der Industrie Hardwarekomponenten in ausreichender Anzahl vorhanden. Krankenhäuser können den Anschluss über normale Konnektoren oder spezielle Rechenzentrumskonnektoren realisieren. Für spezielle Rechenzentrumskonnektoren liegen der Industrie die notwendigen Anforderungen und die finanziellen Rahmenbedingungen vor. Diese Anforderungen sind in den Finanzierungsvereinbarungen zwischen der Deutschen Krankenhausgesellschaft und dem Spitzenverband Bund der Krankenkassen niedergelegt. Mehrere Industrieunternehmen haben angekündigt, einen Rechenzentrumskonnektor zu entwickeln.

  1. Welche Anzahl an Praxen wird nach Kenntnis der Bundesregierung von Honorarkürzungen gemäß § 215 Absatz 2b des Fünften Buches Sozialgesetzbuch (SGB V) betroffen sein?

Die Anzahl der Praxen, die möglicherweise von Honorarkürzungen nach (richtig) § 291 Absatz 2b SGB V betroffen sein könnte, kann derzeit nicht abgeschätzt werden (siehe hierzu auch Antwort zu Frage 12).

Drucksache
19/11314     
Deutscher Bundestag – 19. Wahlperiode

  1. Mit welcher finanziellen Höhe der Honorarkürzungen rechnet die Bundesregierung in den Jahren 2019 und 2020?
    1. Mit welchen Maßnahmen sollen die Honorarkürzungen durch wen durchgesetzt werden?
    2. Was geschieht mit den gekürzten Mitteln, wie werden diese verwendet, bzw. wohin fließen sie nach welchen Kriterien zurück?

Die Fragen 12 bis 12b werden wegen ihres Sachzusammenhangs gemeinsam beantwortet.

Den an der vertragsärztlichen Versorgung teilnehmenden Ärztinnen und Ärzten,

Einrichtungen und Zahnärztinnen und Zahnärzten, die die Online-Prüfung der Versichertenstammdaten ab dem 1. Januar 2019 nicht durchführen, ist die Vergütung vertragsärztlicher Leistungen pauschal um ein Prozent so lange zu kürzen, bis sie die Prüfung durchführen. Die Mitteilung über die durch-geführte OnlinePrüfung ist Bestandteil der an die jeweils zuständige Kassenärztliche oder Kassenzahnärztliche Vereinigung zu übermittelnden Abrechnungsunterlagen. Diese haben von der Kürzung bis zum 30. Juni 2019 abzusehen, sofern die Anschaffung der für die Prüfung erforderlichen Ausstattung bereits vor dem 1. April 2019 vertraglich vereinbart und gegenüber der jeweils zuständigen Kassenärztlichen oder Kassenzahnärztlichen Vereinigung nachgewiesen worden ist. Nach Angaben der Kassenärztlichen Bundesvereinigung (KBV) richtet sich die Verwendung der durch Kürzung der vertragsärztlichen Vergütung einbehaltenen Mittel nach den gesamtvertraglichen Regelungen, die zwischen den regionalen Gesamtvertragspartnern vereinbart wurden. Eine bundeseinheitliche Vorgabe existiert hierzu nicht. Der Umfang der in den Jahren 2019 und 2020 möglicherweise vorzunehmenden Kürzungen und damit die mögliche finanzielle Höhe der Kürzungen in diesem Zeitraum kann derzeit nicht abgeschätzt werden.

  1. Welcher Sicherheitsvorteil entsteht nach Auffassung der Bundesregierung durch die Nutzung der TI-Hardwarekomponenten, wenn gleichzeitig ein App-Zugang für Endnutzer zur Nutzung von Gesundheitskontrollen über Smartphones zur Verfügung gestellt werden soll, für den diese Sicherheitshardware nicht benötigt wird?

Anbieter von Komponenten der Telematikinfrastruktur müssen für die Zulassung durch die gematik eine Sicherheitszertifizierung nach dem international anerkannten Common-Criteria-Verfahren bzw. ein unabhängiges Sicherheitsgutachten nachweisen. Dabei werden in einer Sicherheitsbetrachtung insbesondere das Bedrohungspotential, die Sicherheitsziele und Sicherheitsanforderungen analysiert. Dies führt zu differenzierten technischen Lösungen für die App auf dem Smartphone eines Versicherten und den Anschluss einer Arztpraxis an die Telematikinfrastruktur.

  1. Sollen Daten der TI nach Planungen der Bundesregierung für Nutzer im Ausland nutzbar gemacht werden, etwa für Erkrankungen der Versicherten während einer Auslandsreise, und wenn ja, wie, in welcher Form, und benötigen die Nutzer im Ausland dann auch TI-Hardwarekomponenten?

Der grenzüberschreitende Gesundheitsdatenaustausch soll nach den derzeitigen EU-Vereinbarungen im E-Health-Netzwerk nach Artikel 14 der Richtlinie 2011/ 24/EU über nationale E-Health-Kontaktstellen sowie ein sicheres EU-Netz zwischen Verwaltungen (TESTA-Netz) durchgeführt werden. Der Anschluss der nationalen E-Health-Kontaktstellen an die jeweiligen nationalen Infrastrukturen obliegt den jeweiligen Mitgliedstaaten auf Basis gemeinsamer Vereinbarungen im Deutscher Bundestag – 19. Wahlperiode     Drucksache
19/11314

E-Health-Netzwerk. Die Installation von TI-Hardwarekomponenten bei den Leistungserbringern im EU-Ausland ist nicht vorgesehen. Es ist Gegenstand der derzeitigen Diskussion, wie eine nationale E-Health-Kontaktstelle sicher an die deutsche Telematikinfrastruktur angeschlossen werden kann. In Deutschland ist vorgesehen, dass der grenzüberschreitende Austausch nur auf Basis der Zustimmung des Patienten erfolgen kann. Zudem ist eine sichere Identifizierung und Authentifizierung im EU-Ausland erforderlich.

Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com

Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de

Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de

ISSN 0722-8333